【導讀】隻有從流程到產品確保係統安全性
，wBMS技術的全部優勢才能實現。在與電動汽車(EV)車廠的早期對話中，就無線電池管理係統(wBMS)的技術和商務方麵的挑戰似乎令人生畏
，但回報卻非常豐厚，不容忽視。無線連接相對於有線/電纜架構的許多固有優勢已經在無數商業應用中得到證明，BMS是又一個明確要拋棄線纜的候選領域。

圖1.使用無線電池管理係統(wBMS)的電動汽車

更輕巧
、模塊化、緊湊型電動汽車電池組的前景——最終擺脫繁瑣的通信線束——已被廣泛接受。通過消除高達90%的電池組布線和15%的電池組體積，整車的設計和尺寸得以顯著簡化，物料清單(BOM)成本、開發複雜性和相關的人工安裝/維護工作也大幅減少。

更重要的是
，單一無線電池設計可以很容易在車廠的整個EV車隊中進行擴展，而無需針對每個品牌和型號進行廣泛且成本高昂的電池組線束重新設計。借助wBMS，車廠可以自由修改其車架設計，而不用擔心需要重新布置電池組內的大量BMS布線。

從長遠來看
，車輛重量和電池組尺寸的持續減小對於未來幾年延長電動汽車的續航裏程至關重要。因此，wBMS技術將在幫助車廠提升續航能力方麵發揮重要作用，進而幫助克服消費者長期揮之不去的電動汽車裏程焦慮。

這zhe不bu僅jin有you望wang刺ci激ji電dian動dong汽qi車che整zheng體ti的de市shi場chang采cai用yong率lv的de提ti升sheng，而er且qie還hai使shi車che廠chang有you機ji會hui憑ping借jie其qi實shi現xian長chang續xu航hang的de實shi力li躍yue入ru電dian動dong汽qi車che市shi場chang領ling導dao地di位wei。展zhan望wang未wei來lai
，這zhe仍reng將jiang是shi電dian動dong汽qi車che車che廠chang的de一yi個ge主zhu要yao差cha異yi化hua因yin素su。關guan於yu優you勢shi的de更geng多duo詳xiang細xi說shuo明ming和he市shi場chang分fen析xi
，請qing參can閱yue “電動汽車無線電池管理 革命已經開始

，投資回報潛力巨大”¹。

新安全標準

要兌現wBMS的承諾，需要克服許多挑戰。當汽車行駛時，wBMSzhongshiyongdewuxiantongxinxuyaoduiganraojuyouzugoudelubangxing
，xitongbixuzaisuoyouqingkuangxiadoushianquande。danshi，jinkaolubangheanquandeshejikenengbuzuyiduikangwangudegongjizhe——這就是係統安全性發揮作用的地方。

如是城市還是農村地區），是shi否fou有you人ren在zai車che內nei使shi用yong另ling一yi個ge同tong頻pin段duan的de無wu線xian設she備bei，都dou會hui導dao致zhi幹gan擾rao源yuan發fa生sheng變bian化hua。電dian池chi組zu內nei的de反fan射she也ye會hui降jiang低di性xing能neng，具ju體ti取qu決jue於yu用yong於yu封feng裝zhuang電dian池chi的de電dian池chi組zu的de材cai料liao。wBMS信號很可能會波動，在自然條件下通信可能會被破壞，更不用說麵對惡意攻擊者了。

如果wBMS通信因為某種原因被中斷
，汽車可以回到“安全模式”，降低性能以允許駕駛員采取行動，或者當wBMS通tong信xin完wan全quan丟diu失shi時shi，汽qi車che能neng夠gou安an全quan停ting車che。這zhe可ke以yi通tong過guo適shi當dang的de安an全quan設she計ji來lai實shi現xian，考kao慮lv係xi統tong中zhong所suo有you可ke能neng的de故gu障zhang模mo式shi，並bing實shi現xian端duan到dao端duan安an全quan機ji製zhi以yi應ying對dui組zu件jian隨sui機ji故gu障zhang。

但是，安全設計並未考慮惡意行為者利用該係統達到某種目的的可能性，包括遠程控製車輛。在2016nianheimaohuiyiqijian，yanjiurenyuanduiyiliangyundongzhongdeqichezhanshilezhezhongkenengxing

，tongguocheliangwangguanshixianleyuanchengjieru。yinci
，zhiyouwuxianlubangxingheguzhanganquanshejishibugoude，haixuyaodiyugongjideanquanxing。heimaoyanshishiyigeyoujiazhidejiaoxun
，biaomingqichezhongdeweilaiwuxianxitongxuyaoyimouzhongfangshijinxingsheji
，shiqibunengzuoweilingyigeyuanchengrukoudianbeiliyong。xiangbizhixia
，changguiyouxiandianchizubutigongyuanchengjieru，yaohuodeduidianchishujudefangwenquan，heikexuyaoyiwulishouduanjierucheliangzhongdegaodianyahuanjing。

在電動汽車電池的全壽命周期中，還可能出現其他安全挑戰，如圖2所示。ADI公司的wBMS設計方法注重了解電動汽車電池經曆的不同階段——從出廠到部署和維護，最後到下一次壽命或壽命終結。這些使用場景定義了wBMS必(bi)須(xu)支(zhi)持(chi)的(de)各(ge)種(zhong)功(gong)能(neng)。例(li)如(ru)，防(fang)止(zhi)未(wei)經(jing)授(shou)權(quan)的(de)遠(yuan)程(cheng)訪(fang)問(wen)是(shi)在(zai)電(dian)動(dong)汽(qi)車(che)部(bu)署(shu)期(qi)間(jian)的(de)一(yi)個(ge)考(kao)慮(lv)事(shi)項(xiang)
，但(dan)在(zai)製(zhi)造(zao)過(guo)程(cheng)中(zhong)需(xu)要(yao)更(geng)靈(ling)活(huo)的(de)訪(fang)問(wen)。另(ling)一(yi)個(ge)例(li)子(zi)是(shi)在(zai)維(wei)修(xiu)期(qi)間(jian)
，修(xiu)理(li)權(quan)法(fa)律(lv)要(yao)求(qiu)提(ti)供(gong)一(yi)種(zhong)方(fang)式(shi)以(yi)便(bian)車(che)主(zhu)解(jie)決(jue)電(dian)池(chi)或(huo)相(xiang)關(guan)wBMS的故障。這意味著必須支持wBMS中的軟件以合法方式更新
，並且當汽車離開維修站時，更新機製不應損害汽車的安全性。

此(ci)外(wai)
，當(dang)電(dian)動(dong)汽(qi)車(che)電(dian)池(chi)不(bu)再(zai)符(fu)合(he)電(dian)動(dong)汽(qi)車(che)性(xing)能(neng)標(biao)準(zhun)時(shi)，這(zhe)些(xie)電(dian)池(chi)有(you)時(shi)會(hui)被(bei)重(zhong)新(xin)部(bu)署(shu)到(dao)能(neng)源(yuan)部(bu)門(men)。這(zhe)需(xu)要(yao)將(jiang)電(dian)動(dong)汽(qi)車(che)電(dian)池(chi)的(de)所(suo)有(you)權(quan)安(an)全(quan)轉(zhuan)移(yi)到(dao)下(xia)一(yi)生(sheng)命(ming)階(jie)段(duan)。電(dian)池(chi)是(shi)沒(mei)有(you)內(nei)置(zhi)智(zhi)能(neng)的(de)設(she)備(bei)，因(yin)此(ci)與(yu)之(zhi)相(xiang)伴(ban)的(de)wBMS的責任在於，實施適當的安全策略以最好地為電動汽車電池壽命周期服務。過渡到第二生命（梯次利用）之前
，必須安全擦除第一生命的所有秘密 。

ADI公司預見了這些問題並按照我們自己的核心設計原則（即特別注重維護和增強從流程到產品的安全完整性並進行詳盡審查）加以解決。與此同時
，ISO/SAE 21434²標準“道路車輛：網絡安全工程”經過過去三年的開發，已於2021年8月正式發布。它定義了類似的窮舉式端到端過程框架，網絡安全保證分為四級。車廠和供應商的在1到4的尺度上評分，4表示最高級別的符合性（參見圖3）。

圖2.電動汽車電池生命周期及其相關的wBMS生命周期

圖3.ISO/SAE 21434框架與CAL 4期望

ADI公司的wBMS方法響應了ISO/SAE 21434要求，實施了汽車行業安全產品開發所需的最高水平的檢查和嚴謹性。為此目的，ADI公司聘請了著名的可信認證實驗室 TÜV-NORD來評估我們內部的開發策略和流程。我們的策略和流程經過審查，完全符合新標準ISO 21434，如圖4所示。

圖4.TÜV-Nord證書

從器件到網絡的嚴格審查

在wBMS產品設計的係統化流程之後，我們執行威脅評估和風險分析(TARA)，以yi根gen據ju客ke戶hu意yi圖tu使shi用yong該gai產chan品pin的de方fang式shi來lai明ming確que威wei脅xie概gai況kuang。通tong過guo了le解jie係xi統tong的de用yong途tu，以yi及ji在zai壽shou命ming期qi間jian它ta的de各ge種zhong使shi用yong方fang式shi，我wo們men可ke以yi確que定ding哪na些xie關guan鍵jian資zi產chan需xu要yao防fang範fan哪na些xie潛qian在zai的de威wei脅xie。

TARA技術有多種選擇
，包括眾所周知的 Microsoft STRIDE 方法，即通過考慮縮寫詞STRIDE所表示的六大威脅來對威脅建模： 欺騙(S)、篡改(T)
、否認(R)、信息披露(I)、拒絕服務(D)和權限提升(E)。然後
，我們可以將其應用於構成wBMS係統的組件的不同接口，如圖5suoshi。zhexiejiekoushishujuhekongzhiliulujingshangdeziranzantingdian，qianzaigongjizhekenenghuijiciduixitongzichanjinxingweijingshouquandefangwen。zaizhezhongqingkuangxia，tongguobanyangongjizhebingxunwenziji
，meigeweixieyumeigejiekoudexiangguanchengduyouduogaoyijiweishenme
，womenkeyizhaochukenengdegongjilujing，bingquedingweixiefashengdekenengxing，yijiruguogongjidecheng，houguokenengyouduoyanzhong。ranhou，womenzaishengmingzhouqidebutongjieduanzhongfuzhegesiweiguocheng，yinweikenengdeweixieheyingxiangyinchanpinsuochudehuanjing（例如倉庫與部署）而有所不同。此信息將指出需要某些對策。

以部署期間的無線蜂窩監視器與wBMS管理器之間的無線通道為例，如圖5suoshi。ruguozichanshilaiziwuxianfengwojianshiqideshuju，danxinjiangshujuzhixielougeiqietingzhe，namewomenkenengxuyaozaishujutongguowuxiantongdaoshijiamishuju。ruguowomendanxinshujutongguotongdaobeicuangai，namekenengxuyaoliyongshujuwanzhengxingjizhi（例如消息完整性代碼）保護數據。如果擔心有人識別出數據來自何處，那麼我們需要一種方法來對與wBMS管理器通信的無線蜂窩監視器進行身份驗證。

通過此練習

，我們就能明確wBMS係統的關鍵安全目標，如圖6所示。這些目標將要求實施一些機製。

很多時候，我們要回答這樣一個問題：“為了實現特定安全目標而選擇某些機製時，我們願意付出多大代價
？”如ru果guo增zeng加jia更geng多duo應ying對dui措cuo施shi，則ze幾ji乎hu肯ken定ding會hui改gai善shan產chan品pin的de整zheng體ti安an全quan態tai勢shi
，但dan代dai價jia會hui很hen大da
，而er且qie可ke能neng給gei使shi用yong產chan品pin的de最zui終zhong消xiao費fei者zhe帶dai來lai不bu必bi要yao的de不bu便bian。一yi個ge常chang見jian策ce略lve是shi減jian輕qing可ke能neng性xing最zui大da且qie最zui容rong易yi部bu署shu的de威wei脅xie。更geng複fu雜za的de攻gong擊ji往wang往wang針zhen對dui較jiao高gao價jia值zhi的de資zi產chan，可ke能neng需xu要yao更geng強qiang的de安an全quan對dui策ce，但dan這zhe種zhong情qing況kuang極ji不bu可ke能neng發fa生sheng，因yin此ci如ru果guo實shi施shi的de話hua，回hui報bao並bing不bu劃hua算suan。

圖5.wBMS的威脅麵考慮

圖6.wBMS的安全目標

例如
，在wBMS中，當車輛正在道路上行駛時，對IC器(qi)件(jian)進(jin)行(xing)物(wu)理(li)篡(cuan)改(gai)以(yi)獲(huo)得(de)對(dui)電(dian)池(chi)數(shu)據(ju)測(ce)量(liang)的(de)訪(fang)問(wen)權(quan)是(shi)極(ji)不(bu)可(ke)能(neng)發(fa)生(sheng)的(de)
，因(yin)為(wei)要(yao)對(dui)行(xing)駛(shi)中(zhong)的(de)汽(qi)車(che)的(de)部(bu)件(jian)動(dong)手(shou)腳(jiao)，需(xu)要(yao)一(yi)個(ge)訓(xun)練(lian)有(you)素(su)且(qie)對(dui)電(dian)動(dong)汽(qi)車(che)電(dian)池(chi)有(you)深(shen)厚(hou)了(le)解(jie)的(de)機(ji)修(xiu)工(gong)。如(ru)果(guo)存(cun)在(zai)更(geng)容(rong)易(yi)的(de)途(tu)徑(jing)
，現(xian)實(shi)生(sheng)活(huo)中(zhong)的(de)攻(gong)擊(ji)者(zhe)很(hen)可(ke)能(neng)會(hui)嚐(chang)試(shi)這(zhe)樣(yang)的(de)路(lu)徑(jing)。對(dui)網(wang)絡(luo)係(xi)統(tong)的(de)常(chang)見(jian)攻(gong)擊(ji)類(lei)型(xing)是(shi)拒(ju)絕(jue)服(fu)務(wu)(DOS)攻擊——使用戶無法使用產品。您可以創建便攜式無線幹擾器來嚐試幹擾wBMS功能（很難），但您也可以給車胎放氣（容易）。

利(li)用(yong)一(yi)組(zu)適(shi)當(dang)的(de)緩(huan)解(jie)措(cuo)施(shi)應(ying)對(dui)風(feng)險(xian)的(de)步(bu)驟(zhou)稱(cheng)為(wei)風(feng)險(xian)分(fen)析(xi)。通(tong)過(guo)衡(heng)量(liang)相(xiang)關(guan)威(wei)脅(xie)在(zai)引(yin)入(ru)適(shi)當(dang)對(dui)策(ce)前(qian)後(hou)的(de)影(ying)響(xiang)和(he)可(ke)能(neng)性(xing)

，我(wo)們(men)可(ke)以(yi)確(que)定(ding)殘(can)留(liu)風(feng)險(xian)是(shi)否(fou)已(yi)被(bei)合(he)理(li)地(di)最(zui)小(xiao)化(hua)。最(zui)終(zhong)結(jie)果(guo)是(shi)，之(zhi)所(suo)以(yi)納(na)入(ru)安(an)全(quan)特(te)性(xing)，是(shi)因(yin)為(wei)這(zhe)些(xie)安(an)全(quan)特(te)性(xing)是(shi)必(bi)須(xu)的(de)，並(bing)且(qie)其(qi)成(cheng)本(ben)是(shi)客(ke)戶(hu)可(ke)以(yi)接(jie)受(shou)的(de)。

wBMS的TARA指向wBMS安全性的兩個重要方麵：器件級安全性和無線網絡安全性。

任何安全係統的第一規則都是“維護密鑰安全！”這意味著
，在器件上和我們的全球製造業務中都要如此。ADI公司的wBMS器件安全性考慮了硬件、IC和IC上shang的de低di級ji軟ruan件jian
，並bing確que保bao係xi統tong能neng夠gou從cong無wu法fa改gai變bian的de存cun儲chu器qi安an全quan引yin導dao到dao可ke信xin平ping台tai以yi供gong運yun行xing代dai碼ma。所suo有you軟ruan件jian代dai碼ma在zai執zhi行xing之zhi前qian都dou要yao進jin行xing身shen份fen驗yan證zheng，任ren何he現xian場chang軟ruan件jian更geng新xin都dou需xu要yao預yu先xian安an裝zhuang的de憑ping據ju提ti供gong授shou權quan。係xi統tong部bu署shu到dao車che輛liang中zhong之zhi後hou

，禁jin止zhi回hui滾gun到dao先xian前qian（且可能易受攻擊）的軟件版本。此外
，係統部署後便要鎖定調試端口，從而消除通過未經授權的後門訪問係統的可能性。

網絡安全性旨在保護wBMS單(dan)元(yuan)監(jian)視(shi)節(jie)點(dian)與(yu)電(dian)池(chi)包(bao)外(wai)殼(ke)內(nei)的(de)網(wang)絡(luo)管(guan)理(li)器(qi)之(zhi)間(jian)的(de)無(wu)線(xian)通(tong)信(xin)。安(an)全(quan)性(xing)從(cong)加(jia)入(ru)網(wang)絡(luo)開(kai)始(shi)，所(suo)有(you)參(can)與(yu)節(jie)點(dian)的(de)成(cheng)員(yuan)資(zi)格(ge)都(dou)要(yao)進(jin)行(xing)檢(jian)查(zha)。這(zhe)樣(yang)可(ke)以(yi)防(fang)止(zhi)隨(sui)機(ji)節(jie)點(dian)加(jia)入(ru)網(wang)絡(luo)，哪(na)怕(pa)它(ta)們(men)碰(peng)巧(qiao)是(shi)附(fu)近(jin)的(de)節(jie)點(dian)。在(zai)應(ying)用(yong)層(ceng)對(dui)與(yu)網(wang)絡(luo)管(guan)理(li)器(qi)通(tong)信(xin)的(de)節(jie)點(dian)進(jin)行(xing)相(xiang)互(hu)認(ren)證(zheng)，將(jiang)能(neng)進(jin)一(yi)步(bu)保(bao)護(hu)無(wu)線(xian)通(tong)信(xin)通(tong)道(dao)，使(shi)得(de)中(zhong)間(jian)人(ren)攻(gong)擊(ji)者(zhe)無(wu)法(fa)充(chong)當(dang)合(he)法(fa)節(jie)點(dian)來(lai)與(yu)管(guan)理(li)器(qi)通(tong)信(xin)，反(fan)之(zhi)亦(yi)然(ran)。此(ci)外(wai)，為(wei)了(le)確(que)保(bao)隻(zhi)有(you)目(mu)標(biao)接(jie)收(shou)者(zhe)可(ke)以(yi)訪(fang)問(wen)數(shu)據(ju)，使(shi)用(yong)基(ji)於(yu)AES的加密來擾亂數據
，防止信息泄漏給任何潛在的竊聽者。

保護密鑰

同所有安全係統一樣，安全性的核心是一組加密算法和密鑰。ADI公司的wBMS遵循NIST批準的指導方針
，這意味著所選的算法和密鑰大小應與適合靜態數據保護的最低安全強度128位一致（例如AES-128、SHA-256
、EC-256）
，並使用經過充分測試的無線通信標準（例如IEEE 802.15.4）中的算法。

保障器件安全所用的密鑰通常是在ADI製造過程中安裝的，並且永遠不會離開IC器件。確保係統安全性的這些密鑰則由IC器qi件jian在zai物wu理li上shang加jia以yi保bao護hu，無wu論lun在zai使shi用yong時shi還hai是shi未wei使shi用yong時shi，未wei經jing授shou權quan的de訪fang問wen均jun會hui被bei阻zu止zhi。然ran後hou
，分fen層ceng密mi鑰yao框kuang架jia將jiang所suo有you應ying用yong層ceng密mi鑰yao作zuo為wei加jia密mi二er進jin製zhi大da對dui象xiang(blob)保存在非易失性存儲器中保護起來，包括網絡安全中使用的密鑰。

為了便於網絡中節點的相互認證，ADI的wBMS在製造期間將一個唯一公鑰密鑰對和一個簽名的公鑰證書置入了每個wBMS節點。通過簽名證書

，節點可以驗證與之通信的是另一個合法ADI節點和有效網絡成員，而唯一公鑰密鑰對由該節點用在密鑰協議方案中，以與另一個節點或BMS控製器建立安全通信通道。這種方法的一個好處是wBMS安裝更容易
，不需要安全安裝環境
，因為節點被設定為在部署後自動處理網絡安全性。

相xiang比bi之zhi下xia，過guo去qu使shi用yong預yu共gong享xiang密mi鑰yao建jian立li安an全quan通tong道dao的de方fang案an通tong常chang需xu要yao一yi個ge安an全quan的de安an裝zhuang環huan境jing和he安an裝zhuang程cheng序xu來lai手shou動dong寫xie入ru通tong信xin端duan點dian的de密mi鑰yao值zhi。為wei了le簡jian化hua和he降jiang低di處chu理li密mi鑰yao分fen布bu問wen題ti的de成cheng本ben，為wei網wang絡luo中zhong的de所suo有you節jie點dian分fen配pei一yi個ge默mo認ren公gong共gong網wang絡luo密mi鑰yao通tong常chang是shi許xu多duo人ren采cai用yong的de捷jie徑jing。這zhe常chang常chang導dao致zhi“一處崩潰
，滿盤崩潰”的災難發生，必須引以為戒。

隨著生產規模的擴大，車廠需要能夠將具有不同數量無線節點的相同wBMS用於不同的電動汽車平台，並安裝在不同的安全製造或維修場所，我們傾向使用分布式密鑰方法來降低整體密鑰管理的複雜性。

結論

隻有在電動汽車電池的全壽命周期內確保從器件到網絡的安全性，才能實現wBMS技術的全部優勢。考慮到這一點
，安全性要求采取係統級設計理念，涵蓋過程和產品。

ADI公司預料到了ISO/SAE 21434標準在草案期間解決的核心網絡安全問題，並在我們自己的wBMS設計和開發過程中采納了相關應對措施。我們自豪地成為首批在政策和流程方麵實現ISO/SAE 21434合規性的技術供應商
，目前我們的wBMS技術正在接受最高網絡安全保障等級認證。

參考電路

¹Shane O’Mahony。“電動汽車無線電池管理革命已經 開始，投資回報潛力巨大” 。ADI公司
，2021年11月。

²ISO/SAE 21434:2021 - 道路車輛。ISO
，2021年。

免責聲明：本文為轉載文章
，轉載此文目的在於傳遞更多信息，版權歸原作者所有。本文所用視頻
、圖片、文字如涉及作品版權問題
，請聯係小編進行處理。

推薦閱讀：

破解SiC、GaN柵極動態測試難題的魔法棒 — 光隔離探頭

用深度傳感器實現體積可視化

搞懂RTK定位，看這一篇就夠了！

高速DAC相位噪聲大
？很可能是時鍾噪聲惹的禍，本文教你消除它~

小巧的100W USB PD快充和適配器方案提供超92%的高能效和高可靠性